SK인포섹 보안 전문가 그룹 이큐스트(EQST)는 최근 이메일과 AD서버를 노린 사이버 공격이 기승을 부리고 있다고 18일 밝혔다.
EQST는 올해 상반기에 발생한 해킹 사고 중에서 이메일이 최초 침입 경로가 된 사례가 35%에 달한다고 강조했다.
이메일 공격은 주로 ‘견적서’, ‘대금청구서’, ‘계약서’ 등 수신자의 메일 확인을 유도하는 단어를 활용했다. 또 메일 제목에 일련번호처럼 숫자를 붙여 보안 시스템을 우회하는 사례도 발견됐다.
김성동 EQST 침해사고대응팀장은 “올해 상반기에 탐지된 악성 메일 건수가 17만1400건이며, 이는 지난해 한해 동안 탐지한 16만3387건을 상회한다”면서 “남은 하반기까지 고려하면 악성 메일 공격이 전년 대비 2배 이상으로 확대될 것”이라고 말했다.
이메일을 경로로 기업 시스템에 침투한 이후에는 랜섬웨어에 감염시키거나, 채굴형 악성코드를 심는 경우가 많았는데, 올해 들어서는 피해를 확산시키기 위해 AD(Active Directory) 서버를 장악하는 시도가 증가했다. AD는 윈도 운영체제(OS) 환경에서 여러 시스템의 관리자 계정과 설정, 정책 배포 등을 관리할 수 있어 권한 탈취시 내부 통신망까지 침투가 가능하다.
김성동 팀장은 “최초 이메일로 침투해 AD서버를 장악하고, 윈도우SMB(파일공유 프로토콜) 기능을 통해 여러 시스템으로 악성파일을 전파하는 행위가 공식처럼 이뤄지고 있다”면서 “AD서버가 장악되는 것은 마치 도둑에게 아파트 전 세대의 출입문 키를 통째로 넘겨주는 것과 같다”고 설명했다.
특히 최근 EQST가 조사한 ‘CHAD’라는 공격의 경우 이메일 침투, AD서버 장악, SMB 전파 등 대규모 공격의 공통 분모를 갖고 있으며, 올해 초까지 4개 기업에 연달아 피해를 입혔다.
이같은 피해를 방지하기 위해서는 이메일 공격을 효과적으로 차단할 수 있는 전용 보안 제품 도입과 함께 회사 임직원들이 이메일 공격에 대한 경각심을 가질 수 있도록 지속적인 모의 훈련을 병행해야 한다는 설명이다.
|